Ochrana osobních údajů – GDPR

Definice GDPR

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, zkráceně GDPR) je plným názvem nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nový evropský „GDPR zákon“ zvyšuje ochranu osobních dat občanů, nastavuje jednotná pravidla nakládání s osobními údaji fyzických osob v reálném i virtuálním světě a zároveň umožňuje jejich volný pohyb v EU.

Základní parametry GDPR

Účinnost: 25. května 2018
Odpovědnost: majitelé firem, vrcholový management
Vliv: procesy, IT systémy, souhlasy, kodex
Rizika: pokuty ÚOOÚ a odškodnění občanům EU
Dostupná pomoc: oborové weby, oborové kodexy, GDPR školení a konzultace, GDPR audit, GDPR certifikace (DPO), implementace GDPR na klíč

Koho a čeho se GDPR týká?

Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Některé části GDPR nařízení se nevztahují na organizace s méně než 250 zaměstnanci v případě, že hlavní činností není zpracování citlivých údajů či velký rozsah zpracování.

Zákonem chráněné osobní údaje jsou libovolné neveřejné údaje, které lze přiřadit konkrétní osobě prostřednictvím:
  • jména, bydliště, r.č. či data narození
  • čísla dokladů: OP, pas, ŘP
  • elektronických údajů (IP adresa, cookie, lokalizační údaje)

Nařízení se vztahuje též na automatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být do evidence zařazeny. Zákon definuje skupinu zvláště citlivých osobních údajů. Směrnice GDPR klade zvláštní požadavky na vytváření profilů občanů EU, které umožní jejich ruční či automatické hodnocení (scoring).

Co musí firma dle GDPR nařízení dělat?

Nejprve zjistit, jaké paragrafy GDPR zákona se jí týkají, příp. co udělat, aby se některým požadavkům vyhnula. Pokud se na ní GDPR vztahuje v plném rozsahu, musí zavést odpovídající kodex, pověřence, procesy a systémy – tuto odpovědnost není možné delegovat na dodavatele služeb.

Pro firmu je to rovněž ideální příležitost k celkovému vylepšení a automatizaci procesů i zvýšení bezpečnosti informačních systémů. V rámci zabezpečení GDPR se rovněž nabízí souběžné dosažení dvojí shody: GDPR certifikace a kybernetická bezpečnost.

Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit.

ICT Pro nabízí v rámci GDPR a ochrany osobních údajů několik školení a workshopů, které pomohou firmám pochopit i zavést nezbytná pravidla a implementovat potřebné procesy pro zajištění GDPR připravenosti.

GDPR nařízení a informační systémy

Kromě samotné ochrany musí firma vědět, kde všude jsou osobní údaje obsaženy a musí být schopna pracovat s osobními údaji jako celkem. Kromě jiného musí být firma schopna:
  • zobrazit uživateli přehled všech osobních údajů (dále OÚ)
  • zpracovat žádost o opravu či výmaz OÚ
  • zpřístupnit OÚ pro přenos a logovat veškeré přenosy osobních údajů
  • přiřadit příznak omezení zpracování a blokovat OÚ v informačním systému
  • vytvořit a zpětně doložit průběh odsouhlasení, uložení, ochrany a likvidace osobních dat